我可以使用ADFS 2.0对SQL Server的某些用户进行身份validation吗?
我一直在使用ADFS使用VS中的声明感知模板来validation用户对AD的罚款。 我们的一些用户将不在Active Directory中,因此我想知道是否可以配置ADFS以便为这些用户查找SQL Server,然后继续正常运行。
ADFS2.0是否提供自定义身份validation存储?
是一个类似的问题,只有一个人说是的,它可以做,而其他人说,你不能。
AD FS 2.0 只能针对Active Directory(AD DS)进行身份validation。 这在官方AD FS 2.0文档中没有明确记录,但它遵循以下两个片段:
- “AD FS 1.x设计指南”中的“附录A:查看AD FS要求”,“帐户存储要求”部分说,“AD FS支持两种类型的帐户存储:Active Directory域服务(AD DS)和Active Directory轻量级目录服务(AD LDS)。“
- “规划迁移到AD FS 2.0”说:“以下是AD FS 2.0中不再支持的AD FS 1.xfunction和方案:[…] AD LDS用作帐户存储”。
因此,没有自定义身份validation存储,基于SQL Server或其他。
(关于其他属性存储的另一个问题:这是可能的。)
在回答您提到的另一个问题时建议的解决方案有点误导。 如果您阅读实际的博客文章,您会看到他们添加了额外的STS。 AD FS 2.0为其他STS提供“声明提供商信任”,并重定向到它(如果“主域发现”设置正确)。 然后,其他STS以其喜欢的方式执行身份validation,将令牌发送回AD FS,然后AD FS运行其声明规则。
因此,在该解决方案中,不是AD FS 2.0针对非AD存储进行身份validation ,而是重定向到针对该存储进行身份validation的STS 。